<div dir="auto">I think this is a good idea as it accomplish the original goal and does not make the DB depend on the LIR portal.<div dir="auto"><br></div><div dir="auto">- Cynthia</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 17, 2019, 10:33 Edward Shryane via db-wg <<a href="mailto:db-wg@ripe.net">db-wg@ripe.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear working group,<br>
<br>
here is the RIPE NCC's proposed implementation plan for NWI-8: LIR's SSO Authentication Groups.<br>
<br>
Scope<br>
<br>
- To simplify the implementation, synchronisation will be done using the existing SSO authentication method.<br>
- Authentication groups (and any new authentication method) will be deferred until later.<br>
<br>
Introduction<br>
<br>
- The synchronisation of non-billing users with the RIPE database will be done with a default maintainer.  <br>
- Setting a default maintainer for the organisation is a pre-requisite for synchronisation.<br>
- A default maintainer is already able to maintain the organisation object and top-level resources.<br>
- Extending this existing mechanism simplifies the synchronisation of users.<br>
<br>
Implementation<br>
<br>
- A new checkbox will be added to the Account Details page in the LIR Portal, in the Maintainer section.<br>
        - "Synchronise non-billing users with the default maintainer".<br>
- If no default maintainer is set, the checkbox is disabled.<br>
- The synchronise checkbox is not checked by default (the user must confirm this action first).<br>
- When the user enables the synchronise checkbox, they must first authenticate with the default maintainer.<br>
        - The user must prove they control the maintainer before user accounts are added to it.<br>
        - If the user's account is already present on the maintainer, this authentication is automatic.<br>
        - Otherwise if the maintainer contains any password credentials, the user will be asked for a password.<br>
        - Otherwise the user is asked to first add their credentials to the maintainer separately.<br>
- Once the checkbox is enabled, synchronisation is performed.<br>
        - Any existing user accounts are removed from the maintainer.<br>
        - Any non-billing user accounts are added to the maintainer.<br>
        - Any other credentials (passwords or PGP keys) are not affected.<br>
- After synchronisation is enabled<br>
        - Whenever a non-billing user is added or removed from the organisation, the default maintainer is updated accordingly.<br>
- A default maintainer can only be synchronised with a single organisation.<br>
        - If a user is removed from one organisation, but remains in a different organisation, this would create a conflict when synchronising.<br>
- If synchronisation is disabled<br>
        - Users are no longer synchronised with the default maintainer, but existing user accounts are not removed.<br>
- Notifications<br>
        - To receive email notifications when the default maintainer is updated, use the notify: and/or mnt-nfy: attribute(s) on the maintainer itself.<br>
<br>
<br>
Regards<br>
Ed Shryane<br>
RIPE NCC<br>
<br>
<br>
<br>
<br>
<br>
<br>
</blockquote></div>